- <div class="title"><a href="http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html">E-valg, fortsatt en dårlig idé (evaluering legges frem i Oslo)</a></div>
- <div class="date">11th September 2012</div>
- <div class="body"><p>I 2006 var forslaget om å gjennomføre politiske valg over Internet
-ute på høring, og
-<a href="http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf">NUUG
-skrev en høringsuttalelse</a> (som EFN endte opp med å støtte), som
-fortsatt er like aktuell. Jeg ble minnet på om den da jeg leste et
-innlegg i Bergens Tidende med tittelen
-<a href="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dårlig idé</a>
-som poengterer hvor viktig det er å holde fast ved at vi skal ha
-hemmelige valg i Norge, og at det nødvendigvis fører til at vi ikke
-kan ha valg over Internet.</p>
-
-<p>Innlegget i BT forteller at det skal være et
-<a href="http://www.samfunnsforskning.no/ISF-intern/ISF-Agenda/E-valg-i-et-demokratisk-perspektiv">seminar
-om evalueringen av e-valgforsøket</a> på Litteraturhuset i morgen
-2012-09-12 9-11:45. Jeg hadde ikke fått med meg dette før nå, og
-kommer meg nok dessverre ikke innom, men håper det møter mange som
-fortsatt kan bidra til å få skutt ned e-valgsgalskapen.</p>
-
-<p>Det er lenge siden 2006, og jeg regner med at de fleste av mine
-lesere har glemt eller ikke har lest høringsuttalelsen fra NUUG. Jeg
-gjengir den derfor her i sin helhet.</p>
-
-<blockquote>
-<p><strong>Høringsuttalelse fra NUUG og EFN om elektronisk
-stemmegivning</strong></p>
-
-<p>Petter Reinholdtsen
-<br>Leder i foreningen NUUG
-<br>2006-09-30</p>
-
-<p>Foreningene NUUG og EFN er glade for å ha blitt invitert til å
-kommentere utredningen om elektronisk stemmegivning, og håper våre
-innspill kan komme til nytte. Denne uttalelsen er ført i pennen av
-NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun Høie, Erik
-Naggum og Håvard Fosseng.</p>
-
-<p>Når en vurderer elektronisk stemmegivning, så tror vi det er viktig
-å ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i
-listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation
-of a Security-Conscious Electronic Polling System", som oppsummerer
-hvilke egenskaper som er viktige:</p>
-
-<ul>
-
-<li>Nøyaktig - et system er nøyaktig hvis det ikke er mulig å endre en
-stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige
-opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med
-i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at
-den endelige opptellingen er perfekt, enten ved sikre at
-unøyaktigheter ikke kan bli introdusert eller kan oppdages og
-korrigert for. Delvis nøyaktige systemer kan oppdage men ikke
-nødvendigvis korrigere unøyaktigheter.</li>
-
-<li>Demokratisk - et system er demokratisk hvis kun de som har lov til
-å stemme kan stemme, og det sikrer at hver av dem kun kan stemme en
-gang.</li>
-
-<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som
-arrangerer valget eller noen andre kan knytte en stemmeseddel til den
-som avga den, og ingen stemmegiver kan bevise at han eller hun stemte
-på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg
-av stemmer og at personer kan tvinges til å stemme på en bestemt
-måte.</li>
-
-<li>Etterprøvbart - et system er etterprøvbart hvis hvem som helst
-uavhengig kan kontrollere at opptellingen er korrekt.</li>
-
-</ul>
-
-<p>Et demokratisk valg må sikre at disse punktene er oppfylt. Det er
-med den bakgrunn vi vurderer elektronisk stemmegivning.</p>
-
-<p>Nøyaktig opptelling kan kun oppnås hvis alle steg i
-opptellingsprosessen kan kontrolleres og verifiseres. Det må ikke må
-være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig
-å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk
-lagring av avgitte stemmer kan gjør det svært enkelt å endre på
-avgitte stemmer uten at det er mulig å oppdage det i
-ettertid. Elektronisk lagring vil også gjøre det mulig å lagre en
-annen stemme enn det som er blitt avgitt, selv om det så korrekt ut
-for den som avga stemmen. Vi mener derfor det er viktig at elektronisk
-stemmegivning gjøres via papir eller tilsvarende, slik at de som
-stemmer kan kontrollere at den stemmen de har avgitt er den som blir
-talt opp. I Australia brukes det et system der de som stemmer gjør
-sitt valg på en skjerm, og stemmen så skrives ut på en papirrull som
-sjekkes av den som stemmer før papirrullen leses inn av
-opptellingssystemet. En sikrer slik at hver enkelt stemme kan
-kontrolleres på nytt.</p>
-
-<p>Etterprøvbarhet kan kun oppnås hvis hver enkelt stemmegiver kan
-kontrollere hele systemet som brukes for stemmegivning. For at dette
-skal være mulig er en nødvendig betingelse at en har innsyn i hvordan
-systemene er satt sammen, og hvordan de brukes. Selv om de aller
-fleste ikke selv vil kunne gjennomføre en slik kontroll, er det viktig
-at flere uavhengige eksperter kan sjekke systemet. Velgerne bør kunne
-velge hvilke eksperter de vil stole på. Dette forutsetter blant annet
-tilgang til kildekoden og informasjon om hvordan de ulike delene av
-det totale stemmegivingssystemet er koblet. Lukkede systemer der
-kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene
-som brukes under selve valgene, er sårbare for trojanere (programvare
-som gjør noe annet og/eller mer enn det leverandøren sier den skal,
-f.eks. endre sluttresulatet av en opptelling) og påvirkning fra
-leverandøren. Det er påstander om slikt i USA på maskiner fra Diebold
-og Siebel allerede. Det finnes i dag flere tilgjengelige fri
-programvaresystemer for elektronisk stemmegiving og opptelling. Fri
-programvare sikrer brukeren kontroll over datasystemene. Slike
-systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske
-valgsystem som ble brukt i det australske parlamentvalget 2001 og
-2004. For å sikre at det er mulig å gjennomføre omtellinger må hver
-enkelt stemme lagres på ikke-elektronisk format (f.eks. papir), og et
-slikt papirspor må sikres slik at de ikke kan endres i ettertid.
-
-<p><strong>Vellykkede elektroniske valgsystemer</strong></p>
-
-<p>I Venezuela fungerte avstemmingsmaskinene slik at de som stemte
-markerte det de stemte på en skjerm, og valgene ble skrevet på en
-papirrull som den som stemmer så de kunne sjekke for å kontrollere at
-de valgene som ble gjort kom med på papirrullen. Deretter ble
-voteringstallene sendt elektronisk fra hver maskin til tre uavhengige
-opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte
-opp stemmene. Alle måtte være enige for å godkjenne resultatet. Hvis
-det var avvik så kunne en gå helt ned på papirrull-nivå for å sjekke
-resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene
-ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det
-er likevel mulig å organisere seg slik at det blir vanskelig å
-forfalske valgresultatet ved å bytte ut eller endre rullene.</p>
-
-<p>India har et elektronisk voteringssystem som ble tatt i bruk i
-1989. Det består av to ulike enheter, en opptellingsenhet og en
-avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig å
-påvirke, men mangler oppbevaring av hver enkelt stemme på et
-ikke-elektronisk format, noe som gjør omtelling umulig.</p>
-
-<p><strong>Mindre vellykkede elektroniske valgsystemer</strong></p>
-
-<p>I USA finnes en rekke ulike leverandører av elektroniske
-valgsystemer, og det er dokumentert svakheter med flere av
-dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og
-Edward W. Felten ved Universitetet i Princeton dokumentert hvordan
-systemet fra Diebold kan manipuleres til gi uriktig
-avstemmingsresultat. Det er også indikasjoner på at noen av systemene
-kan påvirkes av leverandøren via telelinjer. Robert F. Kennedy Jr. har
-nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge
-bør unngå systemer som kan manipuleres slik det rapporteres om fra
-USA.</p>
-
-<p>Universitetet i Oslo skal denne høsten gjennomføre elektronisk valg
-på Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent
-et valgsystem der de som arrangerer valget har mulighet til å se hvem
-som har stemt hva, samt hver deltager i valget kan endre sin stemme i
-ettertid (ikke-hemmelig), de som administrerer datasystemet kan
-påvirke valgresultatet ved å endre, trekke fra eller legge til stemmer
-(ikke-nøyaktig), og det ikke nødvendigvis er mulig å oppdage at slik
-påvirkning har funnet sted (ikke etterprøvbart). Webbaserte
-valgsystemer uten spesiell klientprogramvare vil ha flere av disse
-problemene.</p>
-
-<p><strong>Konkrete kommentarer til rapporten</strong></p>
-
-<p>Rapporten nevner ikke muligheten for å påvirke valgresultatet via
-trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer
-mot bruk av lukket kildekode, fordi dette i prinsippet innebærer å
-stole blindt på leverandøren. Det bør ikke vere begrenset hvem som kan
-kontrollere at systemet gjør det det skal, og dette tilsier bruk av
-fri programvare.</p>
-
-<p>Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut
-sikkerhetsmekanismene ved å lese kode. Det er ikke en god idé å basere
-seg på at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til
-hvordan de fungerer. Som eksempelet fra USA viser, kan man godt
-mistenke leverandøren for å jukse med systemet. Selve det at en slik
-mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig
-inspeksjon, er et problem for demokratiet. Et sikkert system må være
-sikkert selv om noen med uærlige hensikter kjenner til hvordan det
-fungerer. Australia har allerede gjennomført vellykkede valg basert på
-et fri programvaresystem.</p>
-
-<p>Driften av totalsystemet blir ofret liten oppmerksomhet i
-rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som
-bør vurderes nøye.</p>
-
-<p>Definisjonen av brannmur i rapporten er feil, for eksempel sies at
-"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det
-er fullt mulig å ha brannmurer med sikkerhetsproblemer som utnyttes
-til å trenge inn i dem. I tillegg antar man at all trafikk går gjennom
-brannmuren. I store applikasjoner, som et valgsystem vil være, kreves
-et system av brannmurer og andre tiltak som vi kaller
-sikkerhetsarkitektur. Rapporten burde komme inn på behovet for en
-sikkerhetsarkitektur.. Selv med en gjennomarbeidet
-sikkerhetsarkitektur kan det være at man overser muligheter for å
-unngå brannmurene. Rapporten snakker om brannmur i entall, mens det
-nok er nødvendig å sikre et valgsystem med flere lag av
-sikringstiltak, og dermed vil være behov for flere brannmurer. En
-brannmur kan være bygd basert på visse antagelser og standarder. En
-annen brannmur kan bygge på et annet sett antagelser, og stoppe
-trafikk som den første ikke tar høyde for.
-
-<p>Rapporten indikerer dårlige kunnskaper om brannmur, og dette igjen
-antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør
-forbedres. For eksempel er driften ansvarlig for operativ
-sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om
-hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil
-konfigurert eller ikke oppdatert?</p>
-
-<p>Muligheten for sikkerhetsovervåkning kan vi ikke se er nevnt i
-rapporten. Dette er vanskelig og dyrt, men bør vurderes for å kunne
-oppdage systemavvik under valget. Sikkerhetsovervåkning kan inngå som
-ledd i sikkerhetsarkitekturen.</p>
-
-<p>Det har blitt rapportert i pressen at USA ikke bør kjøpe
-Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til
-et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da
-vi mangler nødvendig dataindustri, men vi bør satse på at
-applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning
-kjører programvare der vi har innsyn i hvordan den er satt sammen. Det
-er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan
-sjekkes/verifiseres av eksperter vi selv velger. Når det gjelder
-valgsystemer må «vi» være velgerne, ikke bare myndighetsapparatet. I
-tilfelle en ikke kan bruke fri programvare, bør en ivareta en sunn
-kritisk sans med hensyn til hvorfra og av hvem vi kjøper. På grunn av
-tendenser i USA til å i uheldig stor grad fokusere på
-kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes
-at det hefter betenkeligheter ved innkjøp herfra.</p>
-
-<p><strong>Referanser</strong></p>
-
-<ul>
-
-<li>Cranor, L.F. og Cytron, R.K., "Design and Implementation of a
-Security-Conscious Electronic Polling System" Washington University
-Computer Science Technical Report WUCS-96-02. February 1996
-http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z</li>
-
-<li>Det australske valgsystemet, inkludert kildekoden tilgjengelig som
-fri programvare http://www.elections.act.gov.au/Elecvote.html</li>
-
-<li>Smartmatics SAES voting system used in venesuela 2004
-http://www.smartmatic.com/solutions_03-1.htm</li>
-
-<li>Blackboxvoting, interessegruppe i USA med fokus på valgfusk
-vha. elektroniske valgsystemer http://www.blackboxvoting.org/</li>
-
-<li>VerifiedVoting, interessegruppe i USA med fokus på at også
-elektroniske valgsystemer må være
-etterprøvbare. http://www.verifiedvoting.org/</li>
-
-<li>Blue Screen Democracy - fri programvareprosjekt som har utviklet
-elektronisk stemmegivingssystem
-http://bluescreen.sourceforge.net/</li>
-
-<li>Indias elektroniske avstemmingssystem (Wikipedia)
-http://en.wikipedia.org/wiki/Indian_voting_machines</li>
-
-<li>Security Analysis of the Diebold AccuVote-TS Voting Machine av
-Ariel J. Feldman, J. Alex Halderman, og Edward
-W. Felten. http://itpolicy.princeton.edu/voting/
-http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv</li>
-
-<li>Was the 2004 Election Stolen? av Robert F. Kennedy
-Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen</li>
-
-<li>Styreframlegg om elektronisk votering ved
-UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml
-http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf
-http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li>
-
-<li>Elektroniske valg - muligheter, problemer og noen løsninger
-Semesteroppgave i STV620 - Demokratiske valg
-http://www.afin.uio.no/forskning/notater/4_01.html</li>
-
-<li>NUUG - Norwegian Unix User Group http://www.nuug.no/</li>
-
-<li>EFN - Elektronisk forpost Norge http://www.efn.no/</li>
-
-</ul>
+ <div class="title"><a href="http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html">BankID skal ikke gi tilgang til min personsensitive informasjon</a></div>
+ <div class="date">16th November 2012</div>
+ <div class="body"><p>Onsdag i denne uka annonserte
+<a href="http://www.fad.dep.no/">Fornyingsdepartementet</a> at de har
+inngått kontrakt med BankID Norge om bruk av BankID for å la borgerne
+logge inn på offentlige nettsider der en kan få tilgang til
+personsensitiv informasjon. Jeg skrev i 2009 litt om
+<a href="http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html">hvorfor
+jeg ikke vil ha BankID</a> — jeg stoler ikke nok på en bank til
+å gi dem mulighet til å inngå avtaler på mine vegne. Jeg forlanger at
+jeg skal være involvert når det skal inngås avtaler på mine vegne.</p>
+
+<p>Jeg har derfor valgt å bruke
+<a href="http://www.skandibanken.no/">Skandiabanken</a> (det er flere
+banker som ikke krever BankID, se
+<a href="http://no.wikipedia.org/wiki/BankID">Wikipedia for en
+liste</a>) på grunn av at de ikke tvinger sine kunder til å bruke
+BankID. I motsetning til Postbanken, som løy til meg i 2009 da
+kundestøtten der sa at det var blitt et krav fra Kreditttilsynet og
+BBS om at norske banker måtte innføre BankID, har ikke Skandiabanken
+forsøkt å tvinge meg til å ta i bruk BankID. Jeg fikk nylig endelig
+spurt Finanstilsynet (de har byttet navn siden 2009), og fikk beskjed
+fra Frank Robert Berg hos Finanstilsynet i epost 2012-09-17 at
+Finanstilsynet ikke har fremsatt slike krav. Med andre ord snakket
+ikke Postbankens kundestøtte sant i 2009.</p>
+
+<p>Når en i tillegg fra
+<a href="http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--6989793.html">oppslag
+i Aftenposten</a> vet at de som jobber i alle bankene som bruker
+BankID i dag, det være seg utro tjenere, eller de som lar seg lure av
+falsk legitimasjon, kan lage og dele ut en BankID som gir tilgang til
+mine kontoer og rett til å inngå avtaler på mine vegne, blir det
+viktigere enn noen gang å få reservert seg mot BankID. Det holder
+ikke å la være å bruke det selv. Jeg sendte derfor følgende
+epost-brev til Fornyingsdepartementet i går:</p>
+
+<p><blockquote>
+<p>Date: Thu, 15 Nov 2012 11:08:31 +0100
+<br>From: Petter Reinholdtsen <pere (at) hungry.com>
+<br>To: postmottak (at) fad.dep.no
+<br>Subject: Forespørsel om reservasjon mot bruk av BankID i ID-porten</p>
+
+<p>Jeg viser til nyheten om at staten har tildelt kontrakt for å
+levere elektronisk ID for offentlige digitale tjenester til BankID
+Norge, referert til blant annet i Digi[1] og i FADs
+pressemelding[2].</p>
+
+<p>1) <URL: <a href="http://www.digi.no/906093/staten-gaar-for-bankid">http://www.digi.no/906093/staten-gaar-for-bankid</a> >
+<br>2) <URL: <a href="http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/2012/staten-inngar-avtale-med-bankid.html">http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/2012/staten-inngar-avtale-med-bankid.html</a> ></p>
+
+<p>Gitt BankIDs utforming, der BankID-utsteder har både privat og
+offentlig del av kundens nøkkel hos seg, er jeg ikke villig til å gi
+tilgang til informasjon som hører til min min privatsfære ved hjelp av
+innlogging med BankID.</p>
+
+<p>Jeg ber derfor herved om at løsningen settes opp slik at ingen kan
+logge inn som meg på offentlige digitale tjenester ved hjelp av
+BankID, det vil si at jeg reserverer meg mot enhver bruk av BankID for
+å logge meg inn på slike tjenester som kan inneholde personsensitiv
+informasjon om meg.</p>
+
+<p>Jeg har ikke BankID i dag, men som en kan se i oppslag i Aftenposten
+2012-09-13[3] er det ikke til hindrer for at andre kan bruke BankID på
+mine vegne for å få tilgang. Det sikkerhetsproblemet kommer i tillegg
+til utformingsproblemet omtalt over, og forsterker bare mitt syn på at
+BankID ikke er aktuelt for meg til noe annet enn å logge inn i en
+nettbank der banken i større grad bærer risikoen ved misbruk.</p>
+
+<p>3) <URL: <a href="http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--6989793.html">http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--6989793.html</a> ></p>
+
+<p>Jeg ber om rask tilbakemelding med saksnummer for min henvendelse.
+Jeg ber videre om bekreftelse på at BankID-innlogging er blokkert når
+det gjelder tilgang til "min" informasjon hos det offentlige, i
+forkant av BankID-integrasjon mot ID-porten som i følge
+pressemeldingen skal komme på plass i løpet av et par uker.</p>
+
+<p>--
+<br>Vennlig hilsen
+<br>Petter Reinholdtsen</p>
projects / homepage.git / blobdiff